Buzz
Những cảnh báo mà người tiêu dùng nghe từ các chuyên gia an ninh thông tin thường tập trung vào niềm tin: Đừng nhấp vào liên kết web hoặc tệp đính kèm từ người gửi không đáng tin cậy. Chỉ cài đặt ứng dụng từ nguồn tin cậy hoặc từ cửa hàng ứng dụng được tin cậy. Nhưng gần đây, các hacker mưu mẹo đã tấn công cao hơn trong chuỗi cung ứng phần mềm, đưa malware vào các tải xuống từ ngay cả những nhà cung cấp tin cậy, ngay trước khi bạn nhấp để cài đặt.
Vào thứ Hai, bộ phận nghiên cứu bảo mật Talos của Cisco tiết lộ rằng hacker đã phá hoại công cụ làm sạch máy tính miễn phí siêu phổ biến CCleaner trong ít nhất một tháng qua, chèn một lối vào sau cửa sổ cập nhật của ứng dụng vào hàng triệu máy tính cá nhân. Cuộc tấn công này đã phản bội niềm tin cơ bản của người tiêu dùng vào Avast, nhà phát triển của CCleaner, và các công ty phần mềm nói chung, bằng cách trang bị một chương trình hợp pháp với malware - một được phân phối bởi một công ty an ninh, không kém.
Điều này cũng là một sự cố ngày càng phổ biến. Ba lần trong ba tháng qua, các hacker đã khai thác chuỗi cung ứng số để đặt mã nhiễm bẩn ẩn trong hệ thống cài đặt và cập nhật của các công ty phần mềm, chiếm đoạt những kênh đáng tin cậy đó để âm thầm lan truyền mã độc hại của họ.
"Có một xu hướng lo ngại trong những cuộc tấn công chuỗi cung ứng này," nói Craig Williams, trưởng nhóm Talos của Cisco. "Các kẻ tấn công đang nhận ra rằng nếu họ tìm thấy những mục tiêu dễ bị tấn công, các công ty không có nhiều biện pháp bảo mật, họ có thể chiếm đoạt cơ sở khách hàng đó và sử dụng nó như cơ sở cài đặt malware của riêng mình... Và càng nhiều chúng ta thấy điều đó, càng nhiều kẻ tấn công sẽ bị thu hút đến nó."
Theo Avast, phiên bản bị nhiễm bẩn của ứng dụng CCleaner đã được cài đặt 2,27 triệu lần từ khi phần mềm bị phá hoại lần đầu tiên vào tháng 8 đến tuần trước, khi một phiên bản beta của một công cụ giám sát mạng của Cisco phát hiện ra ứng dụng giả mạo đang hoạt động một cách đáng ngờ trên mạng của một khách hàng. (Công ty an ninh Israel Morphisec đã cảnh báo Avast về vấn đề này thậm chí còn sớm hơn, vào giữa tháng 8.) Avast ký điện tử cho việc cài đặt và cập nhật của CCleaner, để không có kẻ mạo danh nào có thể giả mạo tải xuống của mình mà không cần phải sở hữu một chìa khóa mật mã không thể làm giả. Nhưng hacker có vẻ đã xâm nhập vào quy trình phát triển hoặc phân phối phần mềm của Avast trước khi chữ ký đó xảy ra, để công ty chống virus này về cơ bản đang gắn dấu ấn chấp thuận của mình trên malware và đẩy nó ra cho người tiêu dùng.
Cuộc tấn công này xảy ra hai tháng sau khi hacker sử dụng một lỗ hổng chuỗi cung ứng tương tự để phát tán một đợt lây nhiễm phần mềm phá hủy lớn được biết đến là NotPetya đến hàng trăm mục tiêu tập trung ở Ukraine, nhưng cũng lan rộng ra các quốc gia châu Âu khác và Mỹ. Phần mềm này, mặc dù giả mạo như ransomware nhưng rộng rãi tin rằng thực sự là một công cụ gây náo loạn xóa dữ liệu, chiếm đoạt cơ chế cập nhật của một phần mềm kế toán ít biết đến nhưng phổ biến ở Ukraine được biết đến là MeDoc. Sử dụng cơ chế cập nhật đó như một điểm lây nhiễm và sau đó lan truyền qua các mạng doanh nghiệp, NotPetya đã làm tê liệt hoạt động ở hàng trăm công ty, từ ngân hàng và nhà máy điện ở Ukraine, đến tập đoàn vận chuyển Đan Mạch Maersk, đến tập đoàn dược phẩm lớn của Mỹ Merck.
Một tháng sau đó, các nhà nghiên cứu tại công ty an ninh Nga Kaspersky phát hiện ra một cuộc tấn công chuỗi cung ứng khác mà họ gọi là "Shadowpad": Hacker đã đưa một lối vào có thể tải malware vào hàng trăm ngân hàng, công ty năng lượng và dược phẩm thông qua phần mềm bị hỏng được phân phối bởi công ty Netsarang có trụ sở ở Hàn Quốc, chuyên bán các công cụ quản lý doanh nghiệp và mạng. “ShadowPad là một ví dụ về việc một cuộc tấn công chuỗi cung ứng thành công có thể nguy hiểm và rộng lớn như thế nào," Igor Soumenkov, chuyên viên phân tích của Kaspersky, viết vào thời điểm đó. "Với những cơ hội tiếp cận và thu thập dữ liệu mà nó mang lại cho kẻ tấn công, có khả năng nó sẽ được sao chép lại lần nữa và lần nữa với một thành phần phần mềm phổ biến khác." (Chính Kaspersky cũng đang phải đối mặt với vấn đề tin cậy phần mềm của mình: Bộ An ninh Nội địa Hoa Kỳ đã cấm sử dụng nó trong các cơ quan chính phủ Hoa Kỳ, và tập đoàn bán lẻ lớn Best Buy đã rút phần mềm của họ khỏi kệ hàng, do nghi ngờ rằng nó cũng có thể bị lạm dụng bởi các đối tác nghi ngờ của Kaspersky trong chính phủ Nga.)
Cuộc tấn công vào chuỗi cung ứng đã lên xuống trong nhiều năm. Nhưng những sự cố lặp lại trong mùa hè này cho thấy có một sự tăng lên," nói Jake Williams, một nhà nghiên cứu và tư vấn tại công ty an ninh Rendition Infosec. "Chúng ta phụ thuộc vào phần mềm nguồn mở hoặc phổ biến nơi các điểm phân phối cũng dễ bị tấn công," Williams nói. "Điều đó đang trở thành mục tiêu dễ hơn."
Williams lập luận rằng việc di chuyển lên chuỗi cung ứng có thể là do một phần do cải thiện an ninh cho người tiêu dùng và các công ty cắt đứt một số con đường dễ bị lây nhiễm khác. Tường lửa gần như là phổ biến, việc tìm lỗ hổng có thể hack trong các ứng dụng như Microsoft Office hoặc trình đọc PDF không còn dễ dàng như trước đây, và các công ty ngày càng—mặc dù không phải lúc nào cũng—cài đặt các bản vá bảo mật một cách kịp thời. "Mọi người đang trở nên tốt hơn về an ninh chung," Williams nói. "Nhưng những cuộc tấn công vào chuỗi cung ứng phần mềm này làm vỡ tất cả các mô hình. Chúng vượt qua các biện pháp kiểm tra antivirus và an ninh cơ bản. Và đôi khi, việc vá lỗ hổng cũng chính là điểm tấn công."
Trong một số trường hợp gần đây, hacker đã di chuyển một bước nữa lên chuỗi cung ứng, không chỉ tấn công vào các công ty phần mềm thay vì người tiêu dùng, mà còn vào các công cụ phát triển được sử dụng bởi các lập trình viên của những công ty đó. Vào cuối năm 2015, hacker đã phân phối một phiên bản giả mạo của công cụ phát triển Xcode của Apple trên các trang web thường xuyên được các nhà phát triển Trung Quốc ghé thăm. Những công cụ này đã chèn mã độc hại được biết đến là XcodeGhost vào 39 ứng dụng iOS, nhiều trong số đó đã vượt qua quá trình kiểm tra của App Store của Apple, dẫn đến đợt lây nhiễm malware iOS lớn nhất từ trước đến nay. Và chỉ cách đây một tuần, một vấn đề tương tự—nhưng ít nghiêm trọng hơn—đã ảnh hưởng đến các nhà phát triển Python, khi chính phủ Slovakia cảnh báo rằng một kho lưu trữ mã nguồn Python được biết đến là Python Package Index, hoặc PyPI, đã được tải đầy mã độc hại.
Những loại tấn công vào chuỗi cung ứng này đặc biệt tàn khốc vì chúng vi phạm mọi nguyên tắc cơ bản về an ninh máy tính cho người tiêu dùng, theo Craig Williams của Cisco, có thể khiến những người tuân theo nguồn phần mềm đã biết đến và đáng tin cậy cũng dễ bị tổn thương như những người click và cài đặt một cách rộng rãi hơn. Điều này trở nên nguy hiểm hơn khi nguồn gốc gần kề của phần mềm độc hại là một công ty an ninh như Avast. "Mọi người tin tưởng vào các công ty, và khi họ bị tấn công như vậy, nó thực sự làm vỡ niềm tin đó," nói Williams. "Nó trừng phạt hành vi tốt."
Những cuộc tấn công này khiến người tiêu dùng, theo Williams, chỉ có vài lựa chọn để tự bảo vệ. Tốt nhất, bạn có thể cố gắng mơ hồ xác định các thực hành an ninh nội bộ của các công ty mà phần mềm bạn sử dụng, hoặc tìm hiểu về các ứng dụng khác nhau để xác định xem chúng có được tạo ra với các thực hành an ninh có thể ngăn chúng khỏi bị nhiễm độc.
Nhưng đối với người dùng internet thông thường, thông tin đó hầu như không thể tiếp cận hoặc minh bạch. Cuối cùng, trách nhiệm bảo vệ những người dùng này khỏi làn sóng tấn công vào chuỗi cung ứng ngày càng gia tăng sẽ phải di chuyển lên chuỗi cung ứng, đến các công ty mà những lỗ hổng của chúng đã được truyền xuống cho khách hàng tin tưởng.
